Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Вчера Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware.

Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [Chivas@aolonline.top] .arena.

Как защитить себя от Crysis Ransomware

Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства.

У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования.

Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:

Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете какое-то программное обеспечение безопасности.
Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.

https://www.bleepingcomputer.com/news/security/new-arena-crysis-ransomware-variant-released/
в последнее время Spora очень активна.
распространяется через архивные вложения  wsf (с закодированным исполняемым файлом внутри wsf) и lnk, который скачивает файл шифратора из сети, через командную строку mhta.exe URL_script
https://www.hybrid-analysis.com/sample/29b8bdbe9440cf895cffde56c6982f08c44eb013af51c83e2­0359eeed5b18a60?environmentId=100
пример сообщения с темой "Образцы ТН на погрузку " в почте :

Цитата
В скольких экземплярах вы заполнили документы на перевозку? Если в 2-х, то этого недостаточно. и да, вашу документацию нужно исправить - ошибки в . Исправьте и вышлите в 4-х экземп.. прикрепляю образцы рабочей накладной, ознакомьтесь С Уважением,

Клюканов Олег
Malware delivered via Necurs botnet by DDE feature in Microsoft Word

https://myonlinesecurity.co.uk/malware-delivered-via-necurs-botnet-by-dde-feature-in-microsoft-word/
Bad Rabbit: Not-Petya is back with improved ransomware

Цитата
Киевский метрополитет пострадал от нового варианта печально известной программы Diskcoder ransomware (NotPetya)

   Согласно сообщениям СМИ, несколько транспортных организаций в Украине, а также некоторые правительственные организации подверглись кибератаке, в результате чего некоторые компьютеры стали зашифрованными.

   Публичные источники подтвердили, что затронуты компьютерные системы в Киевском метро, аэропорту Одессы, а также ряде организаций в России.

   ESET обнаружил, что в случае Киевского метро вредоносное ПО, используемое для кибератаки, было Diskcoder.D, - новый вариант выкупа, известный также как Петя. Предыдущий вариант Diskcoder использовался в разрушительной кибератаке в глобальном масштабе в июне 2017 года.

https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/

Цитата
Новая вспышка вымогательства сегодня и попала в какую-то крупную инфраструктуру в Украине, включая Киевское метро. Вот некоторые подробности об этом новом варианте.
Загрузка с помощью Drive-by-Download на популярных сайтах

Один из способов распространения Bad Rabbit - это загрузка Drive-by-Download. Некоторые популярные веб-сайты скомпрометированы и имеют JavaScript, введенные в их тело HTML или в один из их .js-файлов.
Drive-by-Download является распространение вредоносного кода, а реализуются они через привлечение жертв на вредоносный сайт с последующей эксплуатацией уязвимостей в ПО (браузер, flashplayer, pdfviewer, компоненты ActiveX

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/


Антивирусные продукты ESET детектируют шифратор как Win32/Diskcoder.D.
Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295 24 октября в 15-10 по московскому времени.
На этой неделе Майкл Гиллеспи в ID-Ransomware заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил образец, подтверждающий, что это действительно новый вариант Crysis. Эта новая версия добавит расширение .cobra к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и вручную устанавливал ransomware.

Когда этот вариант Cobra ransomware установлен, он сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cobra. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [Cranbery@colorendgrace.com] .cobra.


Как защитить себя от Crysis Ransomware

   Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали хорошие компьютерные привычки и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена ​​в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.

   Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.

   Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:

   - Резервное копирование, резервное копирование, резервирование

   - Не открывайте вложения, если вы не знаете, кто их отправил.

  - Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,

   - Сканирование вложений с помощью таких инструментов, как VirusTotal.

   - Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.

   - Убедитесь, что вы используете надежное программное обеспечение безопасности.

   - Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.

   - Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.


https://www.virustotal.com/en/file/de6376e23536b3039afe6b0645da4fc180969b1dc3cc038b­1c6bd5941d88c4d8/analysis/#comments

https://www.bleepingcomputer.com/news/security/new-cobra-crysis-ransomware-variant-released/
похоже, новый вариант CrySiS появился, шифрует файлы с расширением .java

Цитата
   Зашифровал в основном файлы .doc .xls .pdf .jpg .exe и другие. зашифровал примерно 70% файлов, по какому принципу выбирал - не понятно, 1с не тронул. Всем файлам к имени добавил id-32206A44.[db@all-ransomware.info].java (например: ViberSetup.exe.id-32206A44.[db@all-ransomware.info].java).
https://forum.kasperskyclub.ru/index.php?showtopic=57727
Scarab Ransomware активно распространяется через рассылку спама.

Scarab - это четвертый штамп Ransomware, который Necurs продвинул в этом году после Locky, Jaff и GlobeImposter.

Все три вышеупомянутых штампа ransomware были проблемой для пользователей в этом году. Если его партнерство с Necurs будет продолжаться в ближайшие недели, Scarab собирается дать пользователям и исследователям массу головных болей.

пример зашифрованного файла:
keygpg.rar.[suupport@protonmail.com].scarab

записка о выкупе:


https://www.bleepingcomputer.com/news/security/scarab-ransomware-pushed-via-massive-spam-campaign/
Не успели стихнуть споры вокруг DDE, как ИБ-специалисты обнаружили новую проблему в Office. Так, в середине текущей недели аналитики компании Trend Micro опубликовали отчет о новом шифровальщике qkG. Малварь оказалась не совсем обычной: она шифрует исключительно документы Word. Более того, подобно червю, qkG умеет самостоятельно распространяться и далее, инфицируя другие документы на скомпрометированной машине.

Специалисты Trend Micro рассказали, что впервые qkG был замечен в начале ноября 2017 года: тогда в VirusTotal почти ежедневно загружали подозрительные файлы, которые, как оказалось, были связаны с новым шифровальщиком. Эксперты пишут, что загрузки разных версий вредоноса осуществлялись из Вьетнама.

Работает qkG не совсем обычно. Так, когда пользователь открывает зараженный документ Word, его хитростью вынуждают нажать на кнопку «Enable Editing», которая разрешит выполнение макроскриптов. В случае qkG – это будет VBA-код, которым снабжается документ. Этот аспект уже не совсем обычен, так как обычно макросы используются для загрузки пейлоада, а не сами по себе. Тем не менее, сразу после запуска кода qkG ничего подозрительного не происходит. Дело в том, что малварь использует функцию onClose, то есть вредоносный макрокод срабатывает только после закрытия документа.

Когда жертва закрывает зараженный документ, происходит следующее. Во-первых, малварь изменяет настройки Office, разрешает программный доступ к VBA object model (AccessVBOM) и деактивирует Protected View, чтобы в дальнейшем выполнение макросов происходило автоматически (для этого малварь редактирует реестр: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV). Во-вторых, вредоносный код qkG внедряется в normal.dot – стандартный шаблон для всех документов Word. В-третьих, содержимое всех уже существующих документов на устройстве жертвы шифруется при помощи XOR, а в конец каждого документа добавляется сообщение с требованием выкупа.

https://xakep.ru/2017/11/24/self-spreading-macro-malware/

https://www.bleepingcomputer.com/news/security/qkg-ransomware-encrypts-only-word-documents-hides-and-spreads-via-macros/
Список: Инструменты дешифрования и т.д.

https://www.comss.ru/page.php?id=4120
Цитата
RP55 RP55 написал:
Список: Инструменты дешифрования и т.д.

https://www.comss.ru/page.php?id=4120

>>>>Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор.

наилучший идентификатор типа зашифрованных файлов - ID Ransomware от команды malwarehunterteam, данный сервис поддерживается и оперативно обновляется.

https://id-ransomware.malwarehunterteam.com/index.php#faq

Какие вымогатели идентифицируются?

Цитата
Наш сервис идентифицирует 535 вымогателя(ей). Вот пополняемый список того, что уже определяется:
4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, AAC, ABCLocker, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-Matrix, AES-NI, AES256-06, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Allcry, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, AnDROid, AngryDuck, Anubi, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ApolloLocker, ArmaLocky, ASN1 Encoder, Atchbo, AutoLocky, AxCrypter, aZaZeL, BadBlock, BadEncript, BadRabbit, Bam!, BandarChor, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, Bitpaymer, Bitshifter, BitStak, Black Feather, Black Shades, Blackout, Blind, Blind 2, Blocatto, BlockFile12, Blooper, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Aleta, BTCWare Gryphon, BTCWare Master, BTCWare PayDay, Bubble, Bucbi, Bud, BugWare, BuyUnlockCode, Cancer, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, ChinaYunLong, CHIP, ClicoCrypter, Clouded, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, CorruptCrypt, Coverton, CradleCore, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt12, Crypt38, CryptConsole, CryptFuck, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, Crypton, CryptON, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, Crystal, CTB-Faker, CTB-Locker, Damage, DarkoderCryptor, DCry, DCry 2.0, Deadly, DEDCryptor, Defray, DeriaLock, Dharma (.cezar), Dharma (.dharma), Dharma (.onion), Dharma (.wallet), Digisom, DilmaLocker, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, DoubleLocker, Dviide, DXXD, DynA-Crypt, eBayWall, ECLR Ransomware, EdgeLocker, EduCrypt, El Polocker, EnCrypt, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, Erebus, Evil, Executioner, ExecutionerPlus, Exotic, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FCPRansomware, FenixLocker, Fenrir, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FS0ciety, FuckSociety, FunFact, GC47, GhostCrypt, Gibon, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, Godra, GOG, GoldenEye, Gomasom, GPAA, GPCode, GX40, Hacked, HadesLocker, Halloware, HappyDayzz, hc6, hc7, HDDCryptor, Heimdall, HellsRansomware, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hermes 2.1, Heropoint, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, Hucky, HydraCrypt, IFN643, ImSorry, Incanto, InfiniteTear, InfinityLock, iRansom, Ishtar, Israbye, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, JobCrypter, JuicyLemon, Kaenlupuf, Karma, Karmen, Karo, Kasiski, KawaiiLocker, Kee Ransomware, KeRanger, Kerkoporta, KeyBTC, KEYHolder, KillerLocker, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, Lalabitch, LambdaLocker, LeChiffre, LightningCrypt, Lime, LLTP, LMAOxUS, Lock2017, Lock93, LockBox, LockCrypt, Locked_File, Locked-In, LockedByte, LockeR, LockLock, Lockout, Locky, Lortok, LoveServer, LowLevel04, MadBit, MafiaWare, Magic, Magniber, Maktub Locker, Marlboro, MarsJoke, Matrix, MaxiCrypt, Maykolin, Maysomware, Meteoritan, Mikoyan, MirCop, MireWare, Mischa, MMM, MNS CryptoLocker, Mobef, MoonCrypter, MOTD, MoWare, MRCR1, Mystic, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Nemucod-AES, NETCrypton, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, Noblis, NotAHero, Nuke, NullByte, NxRansomware, ODCODC, OhNo!, OoPS, OopsLocker, OpenToYou, Ordinypt, OzozaLocker, PadCrypt, Paradise, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Pendor, Petna, Philadelphia, Phobos, Pickles, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, PrincessLocker, PrincessLocker 2.0, Project34, Protected Ransomware, PshCrypt, PyCL, PyL33T, qkG, QuakeWay, R980, RAA-SEP, Radamant, Radamant v2.1, Radiation, Random6, Ranion, RanRan, RanRans, Rans0mLocked, RansomCuck, Ransomnix, RansomPlus, Rapid, RarVault, Razy, RedBoot, REKTLocker, RemindMe, RenLocker, RensenWare, Reyptson, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSA2048Pro, RSAUtil, Ruby, Russian EDA2, SAD, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Scarab, SerbRansom, Serpent, ShellLocker, Shifr, Shigo, ShinigamiLocker, ShinoLocker, Shujin, Shutdown57, Sifreli, Sigma, Simple_Encoder, SintaLocker, Skull Ransomware, Smrss32, SnakeLocker, SNSLocker, SoFucked, Spectre, Spider, Spora, Sport, SQ_, Stampado, StorageCrypter, Storm, Striked, Stroman, Stupid Ransomware, Styx, SuperB, SuperCrypt, Surprise, SynAck, SyncCrypt, SYSDOWN, SZFLocker, Team XRat, Telecrypt, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, TheDarkEncryptor, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, UserFilesLocker, USR0, Uyari, V8Locker, VaultCrypt, vCrypt, VenisRansomware, VenusLocker, ViACrypt, VindowsLocker, VisionCrypt, VMola, Vortex, VxLock, Waffle, WannaCry, WannaCry.NET, WannaCryOnClick, WannaDie, WannaPeace, WannaSmile, WhatAFuck, WildFire Locker, WininiCrypt, Winnix Cryptor, WinRarer, WonderCrypter, Wooly, X Locker 5.0, XCrypt, XData, XiaoBa, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, zCrypt, Zekwacrypt, ZeroCrypt, ZeroRansom, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zipper, Zyklon

и кстати,
рекомендуем по этой ссылке загружать зашифрованный файл и записку о выкупе для самостоятельного детектирования типа шифратора.
https://id-ransomware.malwarehunterteam.com/index.php
не факт, что детект будет верен на 100%, может быть выбрано из базы несколько вариантов, или не найден ни один.
но если зашифрованный файл неизвестного типа попадает в базу, с ним начинают работать специалисты по дешифрованию с тем, чтобы определить возможна расшифровка данного типа, или нет.
Читают тему (гостей: 2)